Atlassian Jira: Kritische LĂĽcke in Data Center & Service Management geschlossen
Jetzt updaten: Fehlende Authentifizierungs-Mechanismen hätten Angreifern Fernzugriffe erleichtert – nun hat Atlassian abgesicherte Versionen bereitgestellt.
(Bild: Alfa Photo/Shutterstock.com)
Neue Versionen von Jira Data Center sowie von der Service Management-Fassung für Data Center ("Jira Service Management Data Center") beseitigen eine Sicherheitslücke, die Atlassian als kritisch einstuft. Entfernte Angreifer hätten sie unter bestimmten Voraussetzungen missbrauchen können, um beliebigen Code ihrer Wahl im Kontext der Jira-Software auszuführen. Data Center-Admins sollten die Versionsangaben in den verfügbaren Sicherheitshinweisen studieren und gegebenenfalls ein Update anstoßen.
AusdrĂĽcklich nicht von der LĂĽcke mit der ID CVE-2020-36239 betroffen sind Jira Cloud-Produkte (Atlassian Cloud, Jira Cloud und Jira Service Management Cloud) sowie Jira Server- und Service Management-Ausgaben, die nicht Data Center-spezifisch sind ("Non-Data Center instances").
Videos by heise
Weitere Informationen und Updates
CVE-2020-36239 fußt auf Ehcache, einer freien Software zur Umsetzung von Caches in Java-Anwendungen. In verwundbaren Jira-Produktversionen hätten Angreifer laut Atlassians Advisory via Port 40001 und möglicherweise auch 40011 ohne vorherige Authentifizierung auf einen Ehcache RMI Netzwerk-Service zugreifen können. Dies wäre allerdings nur bei Port-Konfigurationen möglich gewesen, die solche Zugriffe zulassen und nicht wie von Atlassian empfohlen auf Data Center-Instanzen beschränkt sind.
Detaillierte Angaben zu CVE-2020-36239 sowie eine Ăśbersicht ĂĽber alle verwundbaren und gefixten Software-Versionen sind Atlassians Advisory zu entnehmen:
(ovw)
